Федеральными Законами "О Центральном банке Российской Федерации (Банке России)" от 10.07.2002 N 86-ФЗ, «О национальной платёжной системе», от 27.06.2011 № 161-ФЗ, и иными, Банку России предоставлено право устанавливать требования по защите информации для финансовых организаций.
В соответствии с указанными ФЗ Банк России подготовил и издал ряд нормативных актов, и стандартов, реализующих это право. К ним относятся:
- Положение Банка России № 382-П «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (в редакции Указаний Банка России № 3007-У от 05.06.2013, № 3361-У от 14.08.2014, № 4793-У от 7.05.2018).
- Положение 672-П «О требованиях к защите информации в платежной системе Банка России», принятое на основании полномочий, предоставленных ЦБ РФ п. 19 ч.1 ст. 20 и ч. 9 ст. 20 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», которое пришло на смену 552-П.
- Положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
- Положение 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций», принятые на основании ст. 57.4 ст. 76.4-1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
- Подготовлены и Приказом Федерального агентства по техническому регулированию и метрологии утверждены и введены в действие:
- ГОСТ Р 57580.1 – 2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;
- ГОСТ Р 57580.2.-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».
- «Базовый стандарт совершения страховыми организациями операций на финансовом рынке». Утвержден Банком России (Протокол № КФНП-24 от 9 августа 2018 г.), согласован Комитетом по стандартам по деятельности страховых организаций при Банке России (Протокол № 5 от 27 июня 2018 г.), разработан Всероссийским союзом страховщиков. Разделом 3 данного стандарта установлено, что при обеспечении защиты информации, полученной страховщиком при осуществлении им страховой деятельности, включая обеспечение целостности указанной информации, ее доступности и конфиденциальности, защите персональных данных получателей финансовых услуг страховщик обязан соблюдать требования, определенные ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.
Нормативными актами №№ 382-П, 672-П, 683-П и 684-П определено следующее:
- защита информации финансовых организаций или полученной ими при осуществлении деятельности осуществляется в соответствии с ГОСТ Р 57580.1-2017;
- контроль выполнения требований осуществляется в соответствии с ГОСТ Р 57580.2-2018;
- Финансовые организации должны обеспечить:
- проведение оценки соответствия по 382-П на регулярной основе (1 раз в 2 года);
- тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры (ежегодно);
- использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», ФГУП «Стандартинформ», 2014) (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);
- установлена необходимость проведения оценки соответствия и анализу уязвимостей только с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности.
ООО «Реальная безопасность» предлагает услугу по аудиту и оценке соответствия требованиям Государственных стандартов, нормативных актов и Стандартов Банка России.